Microsoft Sentinel-lösning för SAP-program: referens för säkerhetsinnehåll
Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för SAP.
Viktigt!
Även om Microsoft Sentinel-lösningen för SAP-program är i allmän tillgänglighet finns vissa specifika komponenter kvar i förhandsversionen. Den här artikeln anger de komponenter som finns i förhandsversionen i de relevanta avsnitten nedan. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tillgängligt säkerhetsinnehåll innehåller inbyggda arbetsböcker och analysregler. Du kan också lägga till SAP-relaterade bevakningslistor som ska användas i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.
Innehållet i den här artikeln är avsett för ditt säkerhetsteam .
Inbyggda arbetsböcker
Använd följande inbyggda arbetsböcker för att visualisera och övervaka data som matas in via SAP-dataanslutningen. När du har distribuerat SAP-lösningen hittar du SAP-arbetsböcker på fliken Mallar .
| Arbetsboksnamn | beskrivning | Loggar |
|---|---|---|
| SAP – Granskningsloggläsare | Visar data som: – Allmän systemhälsa, inklusive användarinloggningar över tid, händelser som matas in av systemet, meddelandeklasser och ID:t och ABAP-program körs -Allvarlighetsgrad för händelser som inträffar i systemet – Autentiserings- och auktoriseringshändelser som inträffar i systemet |
Använder data från följande logg: ABAPAuditLog_CL |
| SAP-granskningskontroller | Hjälper dig att kontrollera din SAP-miljös säkerhetskontroller för efterlevnad med ditt valda kontrollramverk med hjälp av verktyg som du kan göra följande: – Tilldela analysregler i din miljö till specifika säkerhetskontroller och kontrollfamiljer – Övervaka och kategorisera de incidenter som genereras av SAP-lösningsbaserade analysregler – Rapportera om din efterlevnad |
Använder data från följande tabeller: - SecurityAlert- SecurityIncident |
Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel-lösning för SAP-program.
Inbyggda analysregler
Det här avsnittet beskriver ett urval av inbyggda analysregler som tillhandahålls tillsammans med Microsoft Sentinel-lösningen för SAP-program. De senaste uppdateringarna finns i Microsoft Sentinel-innehållshubben för nya och uppdaterade regler.
Övervaka konfigurationen av statiska SAP-säkerhetsparametrar (förhandsversion)
För att skydda SAP-systemet har SAP identifierat säkerhetsrelaterade parametrar som måste övervakas för ändringar. Med regeln "SAP – (förhandsversion) känslig statisk parameter har ändrats" spårar Microsoft Sentinel-lösningen för SAP-program över 52 statiska säkerhetsrelaterade parametrar i SAP-systemet, som är inbyggda i Microsoft Sentinel.
Kommentar
För att Microsoft Sentinel-lösningen för SAP-program ska kunna övervaka SAP-säkerhetsparametrarna måste lösningen övervaka SAP PAHI-tabellen med jämna mellanrum. Mer information finns i Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.
För att förstå parameterändringar i systemet använder Microsoft Sentinel-lösningen för SAP-program parameterhistoriktabellen, som registrerar ändringar som görs i systemparametrar varje timme.
Parametrarna återspeglas också i bevakningslistan för SAPSystemParameters. Med den här visningslistan kan användare lägga till nya parametrar, inaktivera befintliga parametrar och ändra värden och allvarlighetsgrad per parameter och systemroll i produktions- eller icke-produktionsmiljöer.
När en ändring görs i någon av dessa parametrar kontrollerar Microsoft Sentinel om ändringen är säkerhetsrelaterad och om värdet anges enligt de rekommenderade värdena. Om ändringen misstänks ligga utanför den säkra zonen skapar Microsoft Sentinel en incident som beskriver ändringen och identifierar vem som gjorde ändringen.
Granska listan över parametrar som den här regeln övervakar.
Övervaka SAP-granskningsloggen
Många av analysreglerna i Microsoft Sentinel-lösningen för SAP-program använder SAP-granskningsloggdata. Vissa analysregler letar efter specifika händelser i loggen, medan andra korrelerar indikationer från flera loggar för att skapa aviseringar och incidenter med hög återgivning.
Använd följande analysregler för att antingen övervaka alla granskningslogghändelser i SAP-systemet eller utlösa aviseringar endast när avvikelser identifieras:
| Regelnamn | beskrivning |
|---|---|
| SAP – Konfiguration saknas i övervakaren för dynamisk säkerhetsgranskningslogg | Körs som standard dagligen för att ge konfigurationsrekommendationer för SAP-granskningsloggmodulen. Använd regelmallen för att skapa och anpassa en regel för din arbetsyta. |
| SAP – Dynamisk deterministisk granskningsloggövervakare (förhandsversion) | Som standard körs var 10:e minut och fokuserar på sap-granskningslogghändelser som markerats som deterministiska. Använd regelmallen för att skapa och anpassa en regel för din arbetsyta, till exempel för en lägre falsk positiv hastighet. Den här regeln kräver deterministiska tröskelvärden för aviseringar och regler för användarundantag. |
| SAP – Dynamiska avvikelsebaserade övervakningsaviseringar för granskningsloggar (FÖRHANDSVERSION) | Som standard körs varje timme och fokuserar på SAP-händelser som markerats som AnomaliesOnly, aviseringar om SAP-granskningslogghändelser när avvikelser identifieras. Den här regeln tillämpar extra maskininlärningsalgoritmer för att filtrera bort bakgrundsbrus på ett oövervakat sätt. |
Som standard skickas de flesta händelsetyper eller SAP-meddelande-ID:er i SAP-granskningsloggen till analysregeln för avvikelsebaserad analys av dynamisk avvikelsebaserad granskningsloggövervakare (FÖRHANDSVERSION), medan den enklare att definiera händelsetyper skickas till analysregeln deterministisk dynamisk deterministisk granskningsloggövervakare (FÖRHANDSVERSION). Den här inställningen, tillsammans med andra relaterade inställningar, kan konfigureras ytterligare för att passa alla systemvillkor.
Övervakningsreglerna för SAP-granskningsloggar levereras som en del av säkerhetsinnehållet i Microsoft Sentinel för SAP-lösningen och möjliggör ytterligare finjustering med hjälp av bevakningslistor för SAP_Dynamic_Audit_Log_Monitor_Configuration och SAP_User_Config.
I följande tabell visas till exempel flera exempel på hur du kan använda SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista för att konfigurera de typer av händelser som skapar incidenter, vilket minskar antalet incidenter som genereras.
| Alternativ | Description |
|---|---|
| Ange allvarlighetsgrad och inaktivera oönskade händelser | Som standard skapar både deterministiska regler och regler baserade på avvikelser aviseringar för händelser som har markerats med medelhög och hög allvarlighetsgrad. Du kanske vill konfigurera allvarlighetsgraderna separat i produktions- och icke-produktionsmiljöer. Du kan till exempel ange en felsökningsaktivitetshändelse som hög allvarlighetsgrad i produktionssystem och inaktivera samma händelser helt i icke-produktionssystem. |
| Exkludera användare efter deras SAP-roller eller SAP-profiler | Microsoft Sentinel för SAP matar in SAP-användarens auktoriseringsprofil, inklusive direkta och indirekta rolltilldelningar, grupper och profiler, så att du kan tala SAP-språket i din SIEM. Du kanske vill konfigurera en SAP-händelse för att exkludera användare baserat på deras SAP-roller och -profiler. I bevakningslistan lägger du till de roller eller profiler som grupperar dina RFC-gränssnittsanvändare i kolumnen RolesTagsToExclude bredvid händelsen Allmän tabellåtkomst via RFC . Den här konfigurationen utlöser endast aviseringar för användare som saknar dessa roller. |
| Exkludera användare med sina SOC-taggar | Använd taggar för att skapa din egen gruppering, utan att förlita dig på komplicerade SAP-definitioner eller ens utan SAP-auktorisering. Den här metoden är användbar för SOC-team som vill skapa en egen gruppering för SAP-användare. Om du till exempel inte vill att specifika tjänstkonton ska aviseras för allmän tabellåtkomst av RFC-händelser , men inte kan hitta en SAP-roll eller en SAP-profil som grupperar dessa användare, använder du taggar på följande sätt: 1. Lägg till Taggen GenTableRFCReadOK bredvid relevant händelse i visningslistan. 2. Gå till SAP_User_Config visningslista och tilldela gränssnittsanvändare samma tagg. |
| Ange ett frekvenströskelvärde per händelsetyp och systemroll | Fungerar som en hastighetsgräns. Du kan till exempel konfigurera ändringshändelser för användarbakgrundsposter så att de bara utlöser aviseringar om fler än 12 aktiviteter observeras på en timme, av samma användare i ett produktionssystem. Om en användare överskrider gränsen på 12 per timme, till exempel 2 händelser i ett 10-minutersfönster, utlöses en incident. |
| Determinism eller avvikelser | Om du känner till händelsens egenskaper använder du de deterministiska funktionerna. Om du inte är säker på hur händelsen ska konfigureras korrekt kan du låta maskininlärningsfunktionerna välja att starta och sedan göra efterföljande uppdateringar efter behov. |
| SOAR-funktioner | Använd Microsoft Sentinel för att samordna, automatisera och svara på incidenter som skapats av dynamiska aviseringar i SAP-granskningsloggen. Mer information finns i Automation i Microsoft Sentinel: Säkerhetsorkestrering, automatisering och svar (SOAR). |
Mer information finns i Tillgängliga bevakningslistor och Microsoft Sentinel för SAP News – funktionen Dynamisk SAP-säkerhetsgranskningsloggövervakare tillgänglig nu! (blogg).
Inledande åtkomst
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Logga in från oväntat nätverk | Identifierar en inloggning från ett oväntat nätverk. Underhålla nätverk i bevakningslistan FÖR SAP – Nätverk . |
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken. Datakällor: SAPcon – Granskningslogg |
Inledande åtkomst |
| SAP – SPNego-attack | Identifierar SPNego Replay Attack. | Datakällor: SAPcon – Granskningslogg | Effekt, lateral förflyttning |
| SAP – Dialoginloggningsförsök från en privilegierad användare | Identifierar inloggningsförsök i dialogrutan, med AUM-typen , av privilegierade användare i ett SAP-system. Mer information finns i SAPUsersGetPrivileged. | Försök att logga in från samma IP-adress till flera system eller klienter inom det schemalagda tidsintervallet Datakällor: SAPcon – Granskningslogg |
Effekt, lateral förflyttning |
| SAP – Råstyrkeattacker | Identifierar råstyrkeattacker på SAP-systemet med RFC-inloggningar | Försök att logga in från samma IP-adress till flera system/klienter inom det schemalagda tidsintervallet med hjälp av RFC Datakällor: SAPcon – Granskningslogg |
Åtkomst till autentiseringsuppgifter |
| SAP – flera inloggningar från samma IP-adress | Identifierar inloggningen för flera användare från samma IP-adress inom ett schemalagt tidsintervall. Underanvändningsfall: Persistency |
Logga in med flera användare via samma IP-adress. Datakällor: SAPcon – Granskningslogg |
Inledande åtkomst |
| SAP – flera inloggningar efter användare | Identifierar inloggningar för samma användare från flera terminaler inom schemalagt tidsintervall. Endast tillgängligt via metoden Audit SAL för SAP-version 7.5 och senare. |
Logga in med samma användare med olika IP-adresser. Datakällor: SAPcon – Granskningslogg |
Åtkomst före attack, åtkomst till autentiseringsuppgifter, inledande åtkomst, samling Underanvändningsfall: Persistency |
| SAP – Information – Livscykel – SAP-anteckningar implementerades i systemet | Identifierar SAP Note-implementering i systemet. | Implementera en SAP-anteckning med hjälp av SNOTE/TCI. Datakällor: SAPcon – Ändringsbegäranden |
- |
| SAP – (förhandsversion) SOM JAVA – Känslig privilegierad användare inloggad | Identifierar en inloggning från ett oväntat nätverk. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . |
Logga in på serverdelssystemet med privilegierade användare. Datakällor: SAPJAVAFilesLog |
Inledande åtkomst |
| SAP – (förhandsversion) SOM JAVA – Inloggning från oväntat nätverk | Identifierar inloggningar från ett oväntat nätverk. Underhåll privilegierade användare i bevakningslistan FÖR SAP – Nätverk . |
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken i SAP - Networks-bevakningslistan Datakällor: SAPJAVAFilesLog |
Initial åtkomst, skyddundandragande |
Dataexfiltrering
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – FTP för icke-auktoriserade servrar | Identifierar en FTP-anslutning för en icke-auktoriserad server. | Skapa en ny FTP-anslutning, till exempel med hjälp av FTP_CONNECT-funktionsmodulen. Datakällor: SAPcon – Granskningslogg |
Identifiering, inledande åtkomst, kommando och kontroll |
| SAP – Osäker KONFIGURATION av FTP-servrar | Identifierar osäkra FTP-serverkonfigurationer, till exempel när en FTP-tillåtna lista är tom eller innehåller platshållare. | Underhåll eller underhåll inte värden som innehåller platshållare i SAPFTP_SERVERS tabellen med hjälp av SAPFTP_SERVERS_V underhållsvyn. (SM30) Datakällor: SAPcon – Granskningslogg |
Inledande åtkomst, kommando och kontroll |
| SAP – Nedladdning av flera filer | Identifierar flera filnedladdningar för en användare inom ett visst tidsintervall. | Ladda ned flera filer med hjälp av SAPGui för Excel, listor och så vidare. Datakällor: SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – flera Spool-körningar | Identifierar flera pooler för en användare inom ett visst tidsintervall. | Skapa och kör flera buffertjobb av valfri typ av användare. (SP01) Datakällor: SAPcon – Spool Log, SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Flera körningar av Spool-utdata | Identifierar flera pooler för en användare inom ett visst tidsintervall. | Skapa och kör flera buffertjobb av valfri typ av användare. (SP01) Datakällor: SAPcon – Spool Output Log, SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Direktåtkomst till känsliga tabeller med RFC-inloggning | Identifierar en allmän tabellåtkomst via RFC-inloggning. Underhålla tabeller i bevakningslistan SAP – Känsliga tabeller . Endast relevant för produktionssystem. |
Öppna tabellinnehållet med SE11/SE16/SE16N. Datakällor: SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Spool Takeover | Identifierar en användare som skriver ut en begäran om buffert som har skapats av någon annan. | Skapa en poolbegäran med en användare och mata sedan in den med en annan användare. Datakällor: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Granskningslogg |
Samling, exfiltrering, kommando och kontroll |
| SAP – Dynamiskt RFC-mål | Identifierar körningen av RFC med dynamiska mål. Underanvändningsfall: Försök att kringgå SAP-säkerhetsmekanismer |
Kör en ABAP-rapport som använder dynamiska mål (cl_dynamic_destination). Till exempel DEMO_RFC_DYNAMIC_DEST. Datakällor: SAPcon – Granskningslogg |
Samling, exfiltrering |
| SAP – Direktåtkomst till känsliga tabeller efter dialoginloggning | Identifierar allmän tabellåtkomst via dialoginloggning. | Öppna tabellinnehåll med hjälp av SE11SE16N/SE16/. Datakällor: SAPcon – Granskningslogg |
Identifiering |
| SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress | Identifierar nedladdning av en fil från ett SAP-system med en IP-adress som är känd för att vara skadlig. Skadliga IP-adresser hämtas från hotinformationstjänster. | Ladda ned en fil från en skadlig IP-adress. Datakällor: SAP-säkerhetsgranskningslogg, hotinformation |
Exfiltrering |
| SAP – (förhandsversion) Data som exporteras från ett produktionssystem med hjälp av en transport | Identifierar dataexport från ett produktionssystem med hjälp av en transport. Transporter används i utvecklingssystem och liknar pull-begäranden. Den här aviseringsregeln utlöser incidenter med medelhög allvarlighetsgrad när en transport som innehåller data från en tabell släpps från ett produktionssystem. Regeln skapar en incident med hög allvarlighetsgrad när exporten innehåller data från en känslig tabell. | Frigör en transport från ett produktionssystem. Datakällor: SAP CR-logg, SAP – känsliga tabeller |
Exfiltrering |
| SAP – (förhandsversion) Känsliga data som sparats i en USB-enhet | Identifierar export av SAP-data via filer. Regeln söker efter data som sparats i en nyligen monterad USB-enhet i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till en känslig tabell. | Exportera SAP-data via filer och spara till en USB-enhet. Datakällor: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender för Endpoint), SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Utskrift av potentiellt känsliga data | Identifierar en begäran eller faktisk utskrift av potentiellt känsliga data. Data anses vara känsliga om användaren hämtar data som en del av en känslig transaktion, körning av ett känsligt program eller direkt åtkomst till en känslig tabell. | Skriv ut eller begär att känsliga data ska skrivas ut. Datakällor: SAP Security Audit Log, SAP Spool-loggar, SAP – Känsliga tabeller, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Hög volym potentiellt känsliga data som exporteras | Identifierar export av en stor mängd data via filer i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till känslig tabell. | Exportera stora mängder data via filer. Datakällor: SAP Security Audit Log, SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
Beständighet
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Aktivering eller inaktivering av ICF-tjänsten | Identifierar aktivering eller inaktivering av ICF-tjänster. | Aktivera en tjänst med hjälp av SICF. Datakällor: SAPcon – Tabelldatalogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Funktionsmodulen har testats | Identifierar testning av en funktionsmodul. | Testa en funktionsmodul med .SE37 / SE80 Datakällor: SAPcon – Granskningslogg |
Samling, skyddundandragande, lateral förflyttning |
| SAP – (FÖRHANDSVERSION) HANA DB – Användaradministratörsåtgärder | Identifierar åtgärder för användaradministration. | Skapa, uppdatera eller ta bort en databasanvändare. Datakällor: Linux-agent – Syslog* |
Privilegieeskalering |
| SAP – Nya ICF-tjänsthanterare | Identifierar skapandet av ICF-hanterare. | Tilldela en ny hanterare till en tjänst med hjälp av SICF. Datakällor: SAPcon – Granskningslogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Nya ICF-tjänster | Identifierar skapandet av ICF-tjänster. | Skapa en tjänst med HJÄLP av SICF. Datakällor: SAPcon – Tabelldatalogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Körning av föråldrad eller osäker funktionsmodul | Identifierar körningen av en föråldrad eller osäker ABAP-funktionsmodul. Underhålla föråldrade funktioner i bevakningslistan sap - föråldrade funktionsmoduler . Se till att aktivera ändringar i EUFUNC tabellloggning för tabellen i serverdelen. (SE13)Endast relevant för produktionssystem. |
Kör en föråldrad eller osäker funktionsmodul direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – Körning av föråldrat/osäkert program | Identifierar körningen av ett föråldrat eller osäkert ABAP-program. Underhåll föråldrade program i bevakningslistan SAP – Föråldrade program . Endast relevant för produktionssystem. |
Kör ett program direkt med SE38/SA38/SE80 eller med hjälp av ett bakgrundsjobb. Datakällor: SAPcon – Granskningslogg |
Identifiering, kommando och kontroll |
| SAP – Flera lösenordsändringar per användare | Identifierar flera lösenordsändringar per användare. | Ändra användarlösenord Datakällor: SAPcon – Granskningslogg |
Åtkomst till autentiseringsuppgifter |
| SAP – (förhandsversion) SOM JAVA – Användaren skapar och använder ny användare | Identifierar skapande eller manipulering av användare av administratörer i SAP AS Java-miljön. | Logga in på serverdelssystemet med användare som du har skapat eller manipulerat. Datakällor: SAPJAVAFilesLog |
Bevarande |
Försök att kringgå SAP-säkerhetsmekanismer
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Ändring av klientkonfiguration | Identifierar ändringar för klientkonfiguration, till exempel klientrollen eller ändringsinspelningsläget. | Utför ändringar i klientkonfigurationen med hjälp av transaktionskoden SCC4 . Datakällor: SAPcon – Granskningslogg |
Defense Evasion, Exfiltration, Persistence |
| SAP – Data har ändrats under felsökningsaktiviteten | Identifierar ändringar för körningsdata under en felsökningsaktivitet. Underanvändningsfall: Persistency |
1. Aktivera felsökning ("/h"). 2. Välj ett fält för ändring och uppdatera dess värde. Datakällor: SAPcon – Granskningslogg |
Körning, lateral förflyttning |
| SAP – Inaktivering av säkerhetsgranskningslogg | Identifierar inaktivering av säkerhetsgranskningsloggen, | Inaktivera säkerhetsgranskningsloggen med hjälp av SM19/RSAU_CONFIG. Datakällor: SAPcon – Granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Körning av ett känsligt ABAP-program | Identifierar direktkörning av ett känsligt ABAP-program. Underhåll ABAP-program i bevakningslistan FÖR SAP - Känsliga ABAP-program . |
Kör ett program direkt med .SE38/SA38/SE80 Datakällor: SAPcon – Granskningslogg |
Exfiltrering, lateral förflyttning, körning |
| SAP – Körning av en känslig transaktionskod | Identifierar körningen av en känslig transaktionskod. Underhålla transaktionskoder i bevakningslistan SAP – Känsliga transaktionskoder . |
Kör en känslig transaktionskod. Datakällor: SAPcon – Granskningslogg |
Identifiering, körning |
| SAP – Körning av modul för känslig funktion | Identifierar körningen av en känslig ABAP-funktionsmodul. Underanvändningsfall: Persistency Endast relevant för produktionssystem. Underhåll känsliga funktioner i bevakningslistan SAP – Känsliga funktionsmoduler och se till att aktivera ändringar i tabellloggning i serverdelen för EUFUNC-tabellen. (SE13) |
Kör en modul för känslig funktion direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsspårning | Identifierar ändringar för HANA DB-spårningsprinciper. | Skapa eller uppdatera den befintliga granskningsprincipen i säkerhetsdefinitioner. Datakällor: Linux-agent – Syslog |
Lateral rörelse, försvarsundandragande, beständighet |
| SAP – (FÖRHANDSVERSION) HANA DB -Inaktivering av spårningslogg | Identifierar inaktivering av HANA DB-granskningsloggen. | Inaktivera granskningsloggen i HANA DB-säkerhetsdefinitionen. Datakällor: Linux-agent – Syslog |
Beständighet, lateral rörelse, försvarsundandragande |
| SAP – Obehörig fjärrkörning av en modul för känslig funktion | Identifierar obehöriga körningar av känsliga virtuella datorer genom att jämföra aktiviteten med användarens auktoriseringsprofil samtidigt som nyligen ändrade auktoriseringar ignoreras. Underhålla funktionsmoduler i bevakningslistan SAP – Känsliga funktionsmoduler . |
Kör en funktionsmodul med hjälp av RFC. Datakällor: SAPcon – Granskningslogg |
Körning, lateral förflyttning, identifiering |
| SAP – Ändring av systemkonfiguration | Identifierar ändringar för systemkonfiguration. | Anpassa alternativ för systemändring eller ändring av programvarukomponenter med hjälp av transaktionskoden SE06 .Datakällor: SAPcon – Granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Felsökningsaktiviteter | Identifierar alla felsökningsrelaterade aktiviteter. Underanvändningsfall: Persistency |
Aktivera felsökning ("/h") i systemet, felsök en aktiv process, lägg till brytpunkt i källkoden och så vidare. Datakällor: SAPcon – Granskningslogg |
Identifiering |
| SAP – Konfigurationsändring för säkerhetsgranskningslogg | Identifierar ändringar i konfigurationen av säkerhetsgranskningsloggen | Ändra konfigurationen av säkerhetsgranskningsloggar med , SM19/RSAU_CONFIGtill exempel filter, status, inspelningsläge och så vidare. Datakällor: SAPcon – Granskningslogg |
Persistence, Exfiltration, Defense Evasion |
| SAP – Transaktionen har låsts upp | Identifierar upplåsning av en transaktion. | Lås upp en transaktionskod med .SM01/SM01_DEV/SM01_CUS Datakällor: SAPcon – Granskningslogg |
Beständighet, körning |
| SAP – Dynamiskt ABAP-program | Identifierar körningen av dynamisk ABAP-programmering. Till exempel när ABAP-kod skapades dynamiskt, ändrades eller togs bort. Underhåll undantagna transaktionskoder i bevakningslistan SAP – Transaktioner för ABAP Generations . |
Skapa en ABAP-rapport som använder ABAP-programgenereringskommandon, till exempel INSERT REPORT, och kör sedan rapporten. Datakällor: SAPcon – Granskningslogg |
Identifiering, kommando och kontroll, påverkan |
Åtgärder för misstänkta privilegier
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Ändring i känslig privilegierad användare | Identifierar ändringar av känsliga privilegierade användare. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . |
Ändra användarinformation/auktoriseringar med .SU01 Datakällor: SAPcon – Granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – (FÖRHANDSVERSION) HANA DB – Tilldela administratörsauktoriseringar | Identifierar administratörsbehörighet eller rolltilldelning. | Tilldela en användare valfri administratörsroll eller behörighet. Datakällor: Linux-agent – Syslog |
Privilegieeskalering |
| SAP – Känslig privilegierad användare som är inloggad | Identifierar dialogrutans inloggning för en känslig privilegierad användare. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . |
Logga in på serverdelssystemet med hjälp av SAP* eller en annan privilegierad användare. Datakällor: SAPcon – Granskningslogg |
Initial åtkomst, åtkomst till autentiseringsuppgifter |
| SAP – Känslig privilegierad användare gör en ändring i andra användare | Identifierar ändringar av känsliga, privilegierade användare i andra användare. | Ändra användarinformation/auktoriseringar med SU01. Datakällor: SAPcon – granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – Lösenordsändring och inloggning för känsliga användare | Identifierar lösenordsändringar för privilegierade användare. | Ändra lösenordet för en privilegierad användare och logga in i systemet. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . Datakällor: SAPcon – Granskningslogg |
Effekt, kommando och kontroll, behörighetseskalering |
| SAP – Användaren skapar och använder ny användare | Identifierar en användare som skapar och använder andra användare. Underanvändningsfall: Persistency |
Skapa en användare med SU01 och logga sedan in med den nyligen skapade användaren och samma IP-adress. Datakällor: SAPcon – Granskningslogg |
Identifiering, före attack, inledande åtkomst |
| SAP – Användaren låser upp och använder andra användare | Identifierar en användare som låss upp och används av andra användare. Underanvändningsfall: Persistency |
Lås upp en användare med SU01 och logga sedan in med den olåst användaren och samma IP-adress. Datakällor: SAPcon – Granskningslogg, SAPcon – Ändra dokumentlogg |
Identifiering, före attack, inledande åtkomst, lateral förflyttning |
| SAP – Tilldelning av en känslig profil | Identifierar nya tilldelningar av en känslig profil till en användare. Underhålla känsliga profiler i bevakningslistan SAP – Känsliga profiler . |
Tilldela en profil till en användare med .SU01 Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av en känslig roll | Identifierar nya tilldelningar för en känslig roll för en användare. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Tilldela en roll till en användare med hjälp av SU01 / PFCG. Datakällor: SAPcon – Ändra dokumentlogg, granskningslogg |
Privilegieeskalering |
| SAP – (FÖRHANDSVERSION) Tilldelning av kritiska auktoriseringar – Nytt auktoriseringsvärde | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhålla kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela ett nytt auktoriseringsobjekt eller uppdatera ett befintligt objekt i en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av kritiska auktoriseringar – Ny användartilldelning | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhålla kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela en ny användare till en roll som innehåller viktiga auktoriseringsvärden med hjälp av SU01/PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Ändringar i känsliga roller | Identifierar ändringar i känsliga roller. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Ändra en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg, SAPcon – granskningslogg |
Impact, Privilege Escalation, Persistence |
Tillgängliga visningslistor
I följande tabell visas de visningslistor som är tillgängliga för Microsoft Sentinel-lösningen för SAP-program och fälten i varje visningslista.
Dessa visningslistor tillhandahåller konfigurationen för Microsoft Sentinel-lösningen för SAP-program. SAP-bevakningslistor är tillgängliga på Microsoft Sentinel GitHub-lagringsplatsen.
| Namn på visningslista | Beskrivning och fält |
|---|---|
| SAP – kritiska auktoriseringsobjekt | Kritiskt auktoriseringsobjekt, där tilldelningar ska styras. - AuthorizationObject: Ett SAP-auktoriseringsobjekt, till exempel S_DEVELOP, S_TCODEeller Table TOBJ - AuthorizationField: Ett SAP-auktoriseringsfält, till exempel OBJTYP eller TCD - AuthorizationValue: Ett SAP-auktoriseringsfältvärde, till exempel DEBUG - ActivityField : SAP-aktivitetsfält. I de flesta fall är ACTVTdet här värdet . För auktoriseringsobjekt utan aktivitet, eller med endast ett aktivitetsfält, fyllt med NOT_IN_USE. - Aktivitet: SAP-aktivitet enligt auktoriseringsobjektet, till exempel: 01: Skapa; 02: Ändra; 03: Visa och så vidare. - Beskrivning: En beskrivande beskrivning av kritiskt auktoriseringsobjekt. |
| SAP – undantagna nätverk | För internt underhåll av exkluderade nätverk, till exempel för att ignorera webbsändare, terminalservrar och så vidare. -Nätverk: En nätverks-IP-adress eller ett intervall, till exempel 111.68.128.0/17. -Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP-undantagna användare | Systemanvändare som är inloggade i systemet och måste ignoreras. Till exempel aviseringar för flera inloggningar av samma användare. - Användare: SAP-användare -Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Nätverk | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - Nätverk: Nätverks-IP-adress eller -intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP – Privilegierade användare | Privilegierade användare som har extra begränsningar. - Användare: ABAP-användaren, till exempel DDIC eller SAP - Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Känsliga ABAP-program | Känsliga ABAP-program (rapporter), där körningen ska styras. - ABAPProgram: ABAP-program eller rapport, till exempel RSPFLDOC - Beskrivning: En beskrivande programbeskrivning. |
| SAP – Modul för känslig funktion | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - FunctionModule: En ABAP-funktionsmodul, till exempel RSAU_CLEAR_AUDIT_LOG - Beskrivning: En beskrivande modulbeskrivning. |
| SAP – känsliga profiler | Känsliga profiler, där tilldelningar ska styras. - Profil: SAP-auktoriseringsprofil, till exempel SAP_ALL eller SAP_NEW - Beskrivning: En beskrivande profilbeskrivning. |
| SAP – känsliga tabeller | Känsliga tabeller, där åtkomst ska styras. - Tabell: ABAP-ordlistetabell, till exempel USR02 eller PA008 - Beskrivning: En beskrivande tabellbeskrivning. |
| SAP – känsliga roller | Känsliga roller, där tilldelningen ska styras. - Roll: SAP-auktoriseringsroll, till exempel SAP_BC_BASIS_ADMIN - Beskrivning: En beskrivande rollbeskrivning. |
| SAP – känsliga transaktioner | Känsliga transaktioner där körningen ska styras. - TransactionCode: SAP-transaktionskod, till exempel RZ11 - Beskrivning: En beskrivande kodbeskrivning. |
| SAP – System | Beskriver liggande SAP-system enligt roll, användning och konfiguration. - SystemID: SAP-system-ID (SYSID) - SystemRole: SAP-systemrollen, ett av följande värden: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: SAP-systemanvändningen, ett av följande värden: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: en valfri dynamisk parameter för användning i spelböcker. |
| SAPSystemParameters | Parametrar för att hålla utkik efter misstänkta konfigurationsändringar. Den här visningslistan är förfylld med rekommenderade värden (enligt BÄSTA PRAXIS för SAP) och du kan utöka visningslistan så att den innehåller fler parametrar. Om du inte vill ta emot aviseringar för en parameter anger du EnableAlerts till false.- ParameterName: Namnet på parametern. - Kommentar: Beskrivning av SAP-standardparametern. - EnableAlerts: Definierar om du vill aktivera aviseringar för den här parametern. Värden är true och false.- Alternativ: Definierar i vilket fall en avisering ska utlösas: Om parametervärdet är större eller lika med ( GE), mindre eller lika med (LE) eller lika med (EQ)Om login/fails_to_user_lock SAP-parametern till exempel är inställd på LE (mindre eller lika) och värdet , när Microsoft Sentinel identifierar en ändring av 5den här specifika parametern, jämförs det nyligen rapporterade värdet och det förväntade värdet. Om det nya värdet är 4utlöser Inte Microsoft Sentinel någon avisering. Om det nya värdet är 6utlöser Microsoft Sentinel en avisering.- ProductionSeverity: Incidentens allvarlighetsgrad för produktionssystem. - ProductionValues: Tillåtna värden för produktionssystem. - NonProdSeverity: Incidentens allvarlighetsgrad för icke-produktionssystem. - NonProdValues: Tillåtna värden för icke-produktionssystem. |
| SAP – undantagna användare | Systemanvändare som är inloggade och måste ignoreras, till exempel för aviseringen Flera inloggningar efter användare. - Användare: SAP-användare - Beskrivning: En beskrivande användarbeskrivning |
| SAP – undantagna nätverk | Underhåll interna, exkluderade nätverk för att ignorera webbsändare, terminalservrar och så vidare. - Nätverk: Nätverks-IP-adress eller -intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning |
| SAP – föråldrade funktionsmoduler | Föråldrade funktionsmoduler, vars körning ska styras. - FunctionModule: ABAP-funktionsmodul, till exempel TH_SAPREL - Beskrivning: En beskrivande funktionsmodulbeskrivning |
| SAP – föråldrade program | Föråldrade ABAP-program (rapporter), vars körning ska styras. - ABAPProgram:ABAP Program, till exempel TH_ RSPFLDOC - Beskrivning: En meningsfull beskrivning av ABAP-programmet |
| SAP – Transaktioner för ABAP-generationer | Transaktioner för ABAP-generationer vars körning ska styras. - TransactionCode: Transaktionskod, till exempel SE11. - Beskrivning: En beskrivande beskrivning av transaktionskod |
| SAP – FTP-servrar | FTP-servrar för identifiering av obehöriga anslutningar. - Klient: till exempel 100. - FTP_Server_Name: FTP-servernamn, till exempel http://contoso.com/ -FTP_Server_Port:FTP-serverport, till exempel 22. - BeskrivningEn beskrivande FTP Server-beskrivning |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurera SAP-granskningsloggaviseringar genom att tilldela varje meddelande-ID en allvarlighetsgrad som krävs av dig, per systemroll (produktion, icke-produktion). Den här visningslistan innehåller information om alla tillgängliga SAP-standardmeddelande-ID:er för granskningsloggar. Visningslistan kan utökas till att innehålla extra meddelande-ID:n som du kan skapa på egen hand med hjälp av ABAP-förbättringar i deras SAP NetWeaver-system. Den här bevakningslistan gör det också möjligt att konfigurera ett utsedd team för att hantera var och en av händelsetyperna och exkludera användare efter SAP-roller, SAP-profiler eller taggar från SAP_User_Config visningslista. Den här visningslistan är en av de viktigaste komponenterna som används för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. Mer information finns i Övervaka SAP-granskningsloggen. - MessageID: SAP-meddelande-ID eller händelsetyp, till exempel AUD (ändringar i användarhuvudposten) eller AUB (auktoriseringsändringar). - DetailedDescription: En markdown-aktiverad beskrivning som ska visas i incidentfönstret. - ProductionSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för produktionssystem High, Medium. Kan anges som Disabled. - NonProdSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för icke-produktionssystem High, . Medium Kan anges som Disabled. - ProductionThreshold Antalet händelser per timme som ska betraktas som misstänkta för produktionssystem 60. - NonProdThreshold Antalet händelser per timme som ska betraktas som misstänkta för icke-produktionssystem 10. - RolesTagsToExclude: Det här fältet accepterar SAP-rollnamn, SAP-profilnamn eller taggar från SAP_User_Config visningslista. Dessa används sedan för att undanta associerade användare från specifika händelsetyper. Se alternativ för rolltaggar i slutet av den här listan. - RuleType: Används Deterministic för att händelsetypen ska skickas till regeln SAP – Dynamisk deterministisk övervakning av granskningsloggar , eller AnomaliesOnly för att den här händelsen ska omfattas av regeln SAP – Dynamisk avvikelsebaserad övervakning av aviseringar för granskningsloggar (FÖRHANDSVERSION). Mer information finns i Övervaka SAP-granskningsloggen. - TeamsChannelID: en valfri dynamisk parameter för användning i spelböcker. - DestinationEmail: en valfri dynamisk parameter för användning i spelböcker. För fältet RolesTagsToExclude : – Om du listar SAP-roller eller SAP-profiler utesluter detta alla användare med de listade rollerna eller profilerna från dessa händelsetyper för samma SAP-system. Om du till exempel definierar BASIC_BO_USERS ABAP-rollen för RFC-relaterade händelsetyper utlöser Business Objects-användare inte incidenter när de gör massiva RFC-anrop.– Taggning av en händelsetyp liknar att ange SAP-roller eller -profiler, men taggar kan skapas på arbetsytan, så SOC-team kan exkludera användare efter aktivitet utan att beroende på SAP BASIS-teamet. Till exempel tilldelas spårningsmeddelande-ID:t AUB (auktoriseringsändringar) och AUD (ändringar i användarhuvudposten) taggen MassiveAuthChanges . Användare som tilldelats den här taggen undantas från kontrollerna för dessa aktiviteter. När du kör arbetsytefunktionen SAPAuditLogConfigRecommend skapas en lista över rekommenderade taggar som ska tilldelas till användare, till exempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Tillåter finjusteringsaviseringar genom att exkludera /including users in specific contexts och används även för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. Mer information finns i Övervaka SAP-granskningsloggen. - SAPUser: SAP-användaren - Taggar: Taggar används för att identifiera användare mot viss aktivitet. Om du till exempel lägger till taggarna ["GenericTablebyRFCOK"] till användaren SENTINEL_SRV förhindrar du att RFC-relaterade incidenter skapas för den här specifika användaren Andra active directory-användaridentifierare – AD-användaridentifierare – Användarens lokala sid – Användarens huvudnamn |
Tillgängliga spelböcker
Spelböcker som tillhandahålls av Microsoft Sentinel-lösningen för SAP-program hjälper dig att automatisera arbetsbelastningar för SAP-incidenthantering, vilket förbättrar effektiviteten och effektiviteten i säkerhetsåtgärder.
I det här avsnittet beskrivs inbyggda analysspelböcker som tillhandahålls tillsammans med Microsoft Sentinel-lösningen för SAP-program.
| Spelboksnamn | Parametrar | anslutningar |
|---|---|---|
| SAP Incident Response – Lås användare från Teams – Basic | – SAP-SOAP-User-Password - SAP-SOAP-Username – SOAPApiBasePath – DefaultEmail – TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
| SAP-incidenthantering – Lås användare från Teams – Avancerat | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
– Microsoft Sentinel – Azure Monitor-loggar – Office 365 Outlook – Microsoft Entra-ID – Azure Key Vault – Microsoft Teams |
| SAP-incidentsvar – Återaktiveringsbar granskningsloggning när den har inaktiverats | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
– Microsoft Sentinel – Azure Key Vault – Azure Monitor-loggar – Microsoft Teams |
I följande avsnitt beskrivs exempel på användningsfall för var och en av de angivna spelböckerna, i ett scenario där en incident varnade dig för misstänkt aktivitet i ett av SAP-systemen, där en användare försöker köra en av dessa mycket känsliga transaktioner.
Under händelsetriagefasen bestämmer du dig för att vidta åtgärder mot den här användaren, sparka ut den från dina SAP ERP- eller BTP-system eller till och med från Microsoft Entra-ID.
Mer information finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel
Processen för att distribuera standardlogikappar är vanligtvis mer komplex än för förbrukningslogikappar. Vi har skapat en serie genvägar som hjälper dig att snabbt distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen. Mer information finns i Stegvis installationsguide.
Dricks
Titta på MAPPEN SAP-spelböcker på GitHub-lagringsplatsen för fler spelböcker när de blir tillgängliga. Det finns också en kort introduktionsvideo (extern länk) som hjälper dig att komma igång.
Låsa ut en användare från ett enda system
Skapa en automatiseringsregel för att anropa låsanvändaren från Teams – Basic-spelboken när en känslig transaktionskörning av en obehörig användare identifieras. Den här spelboken använder Teams funktion för anpassningsbara kort för att begära godkännande innan användaren ensidigt blockeras.
Mer information finns i Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler – Du kommer att höra mig sväva! Del 1 (SAP-blogginlägg).
Låsanvändaren från Teams – Basic-spelboken är en Standard-spelbok, och Standard-spelböcker är vanligtvis mer komplexa att distribuera än förbrukningsspelböcker.
Vi har skapat en serie genvägar som hjälper dig att snabbt distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen. Mer information finns i stegvisa installationsguider och typer av logikappar som stöds.
Låsa ut en användare från flera system
Låsanvändaren från Teams – Avancerad spelbok uppnår samma mål, men är utformad för mer komplexa scenarier, vilket gör att en enda spelbok kan användas för flera SAP-system, var och en med sitt eget SAP SID.
Lås-användaren från Teams – Avancerad spelbok hanterar sömlöst anslutningarna till alla dessa system och deras autentiseringsuppgifter med hjälp av den valfria dynamiska parametern InterfaceAttributes i SAP - Systems bevakningslista och Azure Key Vault.
Med låsanvändaren från Teams – Avancerad spelbok kan du också kommunicera med parterna i godkännandeprocessen med hjälp av Outlook-åtgärdsbara meddelanden tillsammans med Teams, med hjälp av parametrarna TeamsChannelID och DestinationEmail i SAP_Dynamic_Audit_Log_Monitor_Configuration bevakningslista.
Mer information finns i Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler – del 2 (SAP-blogginlägg).
Förhindra inaktivering av granskningsloggning
Du kan också oroa dig för att SAP-granskningsloggen, som är en av dina säkerhetsdatakällor, inaktiveras. Vi rekommenderar att du skapar en automatiseringsregel baserat på sap – inaktivering av analysregeln för säkerhetsgranskningsloggar för att anropa återaktiveringsbar granskningsloggning när den inaktiverade spelboken har inaktiverats för att se till att SAP-granskningsloggen inte är inaktiverad.
Spelboken SAP – Inaktivering av säkerhetsgranskningsloggen använder också Teams, vilket informerar säkerhetspersonalen i efterhand. Brottets allvarlighetsgrad och hur brådskande det är att minska tyder på att omedelbara åtgärder kan vidtas utan godkännande krävs.
Eftersom spelboken SAP – Inaktivering av säkerhetsgranskningsloggen även använder Azure Key Vault för att hantera autentiseringsuppgifter liknar spelbokens konfiguration samma som för låsanvändaren från Teams – Avancerad spelbok. Mer information finns i Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler – del 3 (SAP-blogginlägg).
Relaterat innehåll
Mer information finns i Distribuera Microsoft Sentinel-lösning för SAP-program.